新增 SSL 憑證 adding-an-ssl-certificate
了解如何使用 Cloud Manager 的自助服務工具新增您自己的 SSL 憑證。
憑證需求 certificate-requirements
檢閱檔案管理SSL憑證簡介的 憑證需求 一節,以確定AEM as a Cloud Service支援您要新增的憑證。
正在新增憑證 adding-a-cert
依照以下步驟使用 Cloud Manager 新增憑證。
-
在 my.cloudmanager.adobe.com 登入 Cloud Manager,並選取適當的組織。
-
在「我的程式」控制台中,選取程式。
-
從 概觀 頁面瀏覽到 環境 畫面。
-
從瀏覽面板按一下 SSL憑證。 包含任何現有 SSL 憑證詳細資訊的表格會顯示在主畫面上。
-
按一下 新增SSL憑證 以開啟 新增SSL憑證 對話方塊。
- 在 憑證名稱 中輸入憑證名稱。
- 這僅供參考,可以是任何有助於您輕鬆引用憑證的名稱。
- 將 憑證、私密金鑰 和 憑證鏈 值貼到其各自的欄位中。
- 所有三個欄位都是必填項目。
-
會顯示偵測到的任何錯誤。
- 您必須先解決所有錯誤,然後才能保存您的憑證。
- 請參閱憑證錯誤章節以了解有關解決常見錯誤的更多資訊。
- 在 憑證名稱 中輸入憑證名稱。
-
按一下 儲存 來儲存您的憑證。
儲存後,您會看到憑證在表格中顯示為新的一列。
憑證錯誤 certificate-errors
如果憑證未正確安裝或未滿足 Cloud Manager 的要求,可能會出現某些錯誤。
正確的憑證順序 correct-certificate-order
憑證部署失敗的最常見原因是中間憑證或鏈憑證的順序不正確。
中間憑證文件必須以根憑證或最接近根的憑證結尾。它們必須按降序排列main/server憑證到根。
您可以使用以下命令確定中間文件的順序。
openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout
您可以驗證私鑰和main/server使用以下命令進行憑證匹配。
openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
main/server 憑證找到相符的私密金鑰,您需要透過產生新的 CSR 和/或向您的 SSL 供應商請求更新的憑證來重新加密憑證。移除使用者端憑證 client-certificates
新增憑證時,如果您收到類似下列的錯誤:
The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.
您可能在憑證鏈結中包含使用者端憑證。 請確定該鏈結不包含使用者端憑證,然後再試一次。
憑證政策 certificate-policy
如果您看到以下錯誤,請檢查您的憑證政策。
Certificate policy must conform with EV or OV, and not DV policy.
通常憑證策略由嵌入的 OID 值標識。將憑證輸出為文字並搜尋 OID 將顯示憑證的策略。
您可以使用以下範例作為指南將您的憑證詳細資訊輸出為文字。
openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
Data:
Version: 3 (0x2)
Serial Number:
91:78:c0:f5:8c:b8:fc:cc
Signature Algorithm: sha256WithRSAEncryption
Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
Validity
Not Before: Nov 10 22:55:36 2021 GMT
Not After : Dec 6 15:35:06 2022 GMT
Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
Subject Public Key Info:
...
文字中的 OID 模式定義了憑證的策略類型。
2.23.140.1.12.23.140.1.2.22.23.140.1.2.1透過grepping 輸出憑證文字中的 OID 模式,您可以確認您的憑證策略。
# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5
# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5
# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5
憑證有效期 certificate-validity-dates
Cloud Manager 預計 SSL 憑證從當前日期起至少 90 天內有效。您應該檢查憑證鏈結的有效性。
後續步驟 next-steps
恭喜!您現在擁有專案的有效的SSL憑證。 這通常是設定自訂網域名稱的第一步。